O processo suspeito / suspeito apaga muitas pastas e arquivos através do nome de vários processos

1

Recentemente, descobri que um processo está excluindo uma grande quantidade de arquivos no meu disco rígido e comecei a tentar capturar esse processo. Estas são minhas descobertas:

  1. exclui arquivos em intervalos aleatórios, mas uma vez iniciado, exclua centenas de arquivos / dezenas de GB silenciosamente, e os arquivos excluídos não aparecem na lixeira, por isso não posso restaurá-los. Não apaga todos os arquivos. Por exemplo, em uma pasta, ele exclui todas as subpastas iniciadas com A-M, e pastas iniciadas com N-Z foram mantidas.
  2. No entanto, sempre que é excluído, exclui apenas da minha pasta do Google Drive e da minha pasta de backup (o nome da pasta é BACKUP )
  3. Não faz ação todos os dias. Minha observação é que elimina cerca de uma vez em 3-7 dias, eu suspeito que é em um intervalo aleatório
  4. Acontece quando meu computador liga após um desligamento por horas.
  5. MUITO INTERESSANTE Eu consegui capturar a ação de exclusão usando o Directory Monitor. Primeiro capturou o apagado é feito por C:\Windows\System32\config\systemprofile\AppData\Roaming\PCDr\Downloads\Chipset_Driver_8J86F_WN32_15.3.39.250_A01.EXE e sob usuário "NT AUTHORITY \ SYSTEM". Que é um driver DELL para o driver do controlador Intel (R) Thunderbolt. Imediatamente parei o processo do Controlador Intel Thunderbolt, então a exclusão ainda continua, mas o processo é *C:\Program Files (x86)\Google\Drive\googledrivesync.exe (usuário é meu nome), então eu paro o programa Google Drive, então a exclusão continua, mas o processo é C:\Windows\explorer.exe (usuário é o meu nome). Então fechei todas as janelas do explorador de arquivos e finalmente a exclusão parou.
  6. Realizei a verificação completa usando o Windows Defender e o AVG Antivirus, nenhum vírus foi encontrado.

Eu tentei restaurar meu sistema usando uma imagem limpa absoluta (esta é a imagem de fábrica), então eu tenho que instalar todos os softwares para fazer o PC funcionar, então depois de alguns dias a exclusão acontece novamente. O software mais recente que instalei antes da primeira ocorrência desse vírus é o Docker para Windows e algumas atualizações de drivers da Dell, todas baixadas de sites oficiais.

Alguém tem ideia do vírus?

Alguns registros do Monitor de diretórios:

===first process (Chipset_Driver_8J86F_WN32_15.3.39.250_A01.EXE)===

Deleted (28/7/2017 18:27:29): X:\BACKUP\Drivers\Network\Tenda\Original *NT AUTHORITY\SYSTEM using C:\Windows\System32\config\systemprofile\AppData\Roaming\PCDr\Downloads\Chipset_Driver_8J86F_WN32_15.3.39.250_A01.EXE*
Deleted (28/7/2017 18:27:29): X:\BACKUP\Drivers\Network\Tenda\Original\User Guide\PDF *NT AUTHORITY\SYSTEM using C:\Windows\System32\config\systemprofile\AppData\Roaming\PCDr\Downloads\Chipset_Driver_8J86F_WN32_15.3.39.250_A01.EXE*
Deleted (28/7/2017 18:27:29): X:\BACKUP\Drivers\Wacom\PenTablet_499-6.exe *NT AUTHORITY\SYSTEM using C:\Windows\System32\config\systemprofile\AppData\Roaming\PCDr\Downloads\Chipset_Driver_8J86F_WN32_15.3.39.250_A01.EXE*

===second process (googledrivesync.exe)===
Deleted (28/7/2017 18:27:30): X:\DATA\CloudDrive\f1\design.png *MY-DELL\MyUserName using C:\Program Files (x86)\Google\Drive\googledrivesync.exe*
Deleted (28/7/2017 18:27:30): X:\DATA\CloudDrive\f1\Function list.gdoc *MY-DELL\MyUserName using C:\Program Files (x86)\Google\Drive\googledrivesync.exe*
Deleted (28/7/2017 18:27:30): X:\DATA\CloudDrive\f1\Group_full.gslides *MY-DELL\MyUserName using C:\Program Files (x86)\Google\Drive\googledrivesync.exe*

===third process (explorer.exe)===
Deleted (28/7/2017 18:27:31): X:\DATA\CloudDrive\V\WC\Sales Deck\images\burden-299864.jpg *MY-DELL\MyUserName using C:\Windows\explorer.exe*
Deleted (28/7/2017 18:27:31): X:\DATA\CloudDrive\V\WC\Sales Deck\images\Millennial-FOT-1.jpg *MY-DELL\MyUserName using C:\Windows\explorer.exe*
Deleted (28/7/2017 18:27:31): X:\DATA\CloudDrive\V\WC\Sales Deck\images\HongKong19.jpg *MY-DELL\MyUserName using C:\Windows\explorer.exe*

=== Informações adicionais sobre a pasta BACKUP como por @ 'TECHIE007 =======

A pasta BCKUP é apenas uma pasta regular que armazena meus drivers de hardware e imagens do sistema para fins de recuperação do sistema. Está armazenado em X: \ BACKUP. O X: dirija um único disco rígido armazenando todos os meus dados. Existem pastas como: X: \ BACKUP ... X: \ DATA ... X: \ MEDIA ...

Regularmente, eu copiava toda a unidade X: para um disco rígido externo como uma cópia de backup.

Eu tenho uma unidade C: que é um SSD e somente para sistema e software instalado.

Enquanto isso, para facilitar a portabilidade, cada pasta no X: tem um link simbólico criado em C :, por exemplo Eu tenho C: \ BACKUP que é um link simbólico para X: \ BACKUP, C: \ MEDIA links para X: \ MEDIA etc.

Também notei que quando todos os arquivos são excluídos na pasta BACKUP, o link simbólico C: \ BACKUP também é excluído, mas a pasta X: \ BACKUP ainda está lá, mas o conteúdo está vazio. Então eu acho que o malware está realmente apagando C: \ BACKUP *. * Ao invés de X: \ BACKUP, e depois que todos os arquivos em C: \ BACKUP são deletados, o malware apaga a pasta C: \ BACKUP que remove apenas o link simbólico, é por isso que a pasta X: \ BACKUP ainda está lá com conteúdo vazio.

Espero que isso ajude a encontrar uma nova pista.

    
por LazNiko 28.07.2017 / 16:28

1 resposta

0

Atualização: A Dell reconheceu que o instalador do driver exclui arquivos do usuário. Eles colocaram o driver na lista negra para garantir que ele não seja distribuído para outros sistemas. Para aqueles que já estão enfrentando esse problema, boa sorte em recuperar seus arquivos.

Algumas pessoas, inclusive eu, estão com esse problema. Parece estar relacionado a um instalador de driver Dell Thunderbolt que é executado todos os dias. Eu executei um rastreamento do Sysinternals Process Monitor que prova que esse instalador de driver faz toda a exclusão.

Não sei ao certo por que exclui apenas arquivos de uma pasta específica, mas é minha pasta mais importante que sempre abri no gerenciador de arquivos. Talvez haja alguma interação entre o driver e o explorador de arquivos.

Mais detalhes podem ser encontrados neste tópico da Dell. link

Eu publiquei um detalhamento completo da minha descoberta lá, mas ele está aguardando por um moderador da Dell, então incluí uma cópia abaixo.

Same here, over the last 5 working days (I believe the first time it happened was Thursday, August 17, 2017) it has repeatedly deleted a folder containing 10K+ files that I had to restore from backup every day. A monumental waste of my time.

I got so fed up with my files disappearing that I ran a SysInternals Process Monitor trace and let's just say that I have caught this driver installer with its pants down, this process traverses files under c:\data\dropbox and deletes them all!

Why the installer is running every day is beyond me. Also, why it is only deleting this folder under c:\data and not other ones under c:\data is not clear. The only thing I can think of is that I have this folder ALWAYS open in file explorer.

Other people are reporting similar problems, see Virus / suspicious process deletes many folders and files via various processes name

I had a look at the update of the various Dell update utilities running on my system (why so many). Dell Command Update's history and activity log don't show they have executed anything.

The installer is signed by Dell Inc, I have checked it with virus scanners and it comes through clean.

Dell Support assist shows 'Powered by PC_Doctor', which explains the PCDR in the path of the driver, so my guess is that this schedules the daily update. However, the process ID shown for the parent process (that started the driver installer) is not for a process that is currently running, so I cannot say for sure what started this installer.

Does anyone have any idea about where the log file for this driver installer can be found. I looked in %temp% and c:\windows\temp, but there is nothing there that matches the timestamp.

The Windows Event log shows the following every day


System event log entries (every day at a random time, event ID 7045)

A service was installed in the system.

Service Name: PCDSRVC{3B54B31B-D06B6431-06020200}_0 - PCDR Kernel Mode Service Helper Driver Service File Name: c:\program files\dell\supportassist\pcdsrvc_x64.pkms Service Type: kernel mode driver Service Start Type: demand start Service Account:


as well as


Beginning a Windows Installer transaction: C:\ProgramData\dell\drivers\Chipset_Driver_8J86F_WN32_15.3.39.250_A01\setup.msi. Client Process Id: 16568.


I am happy to delete this problematic file, but my fear is that it will come back an delete files again. As it is impossible to trace what it has deleted over time more and more files will just disappear from my system.

It is pretty clear who is at fault here, now Dell will need to take ownership and sort this out. I am paying for premium support and will contact my Dell support rep.

    
por 24.08.2017 / 13:43